Estoy probando la resistencia contra ataques de inyección en una base de datos de SQL Server.
Todos los nombres de tablas en la base de datos son minúsculas y la intercalación distingue entre mayúsculas y minúsculas, Latin1_General_CS_AS .
La cadena que puedo enviar se fuerza a mayúsculas y puede tener un máximo de 26 caracteres de longitud. Por lo tanto, no puedo enviar una TABLA DE GOTAS porque el nombre de la tabla estaría en mayúsculas y, por lo tanto, la declaración fallará debido a la intercalación.
Entonces, ¿cuál es el daño máximo que podría hacer en 26 caracteres?
EDITAR
Sé todo sobre consultas parametrizadas, etc., imaginemos que la persona que desarrolló el front-end que construye la consulta para enviar no utilizó parámetros en este caso.
Tampoco estoy tratando de hacer nada nefasto, este es un sistema construido por alguien más en la misma organización.